Welche Möglichkeiten gibt es, um zu verhindern, dass Dateien mit dem Unicode-Zeichen Right-to-Left Override in ihrem Namen (eine Malware-Spoofing-Methode) geschrieben oder gelesen werden können?

Was sind Möglichkeiten, um zu vermeiden oder zu verhindern, dass Dateien mit dem RLO (Right-to-Left Override) Unicode-Zeichen in ihrem Namen (eine Malware-Methode, um Dateinamen zu fälschen) in einem Windows-PC geschrieben oder gelesen werden?

Mehr Infos zum RLO Unicode-Zeichen hier:

Info über das RLO-Unicode-Zeichen, wie es von Malware verwendet wird:

Zusammenfassung des Berichts über Vorfälle mit Computerviren/unautorisiertem Computerzugriff für Oktober 2011, zusammengestellt von der Information-technology Promotion Agency, Japan (IPA)
 [Spiegeln (Google Cache)
]

Sie können dies ausprobieren RLO-Zeichentest-Webseite
, um zu sehen, wie das RLO-Zeichen funktioniert.

Das RLO-Zeichen ist auch bereits in das Feld "Input Test" auf dieser Webseite eingefügt. Versuchen Sie, dort zu tippen, und stellen Sie fest, dass die Zeichen, die Sie tippen, in umgekehrter Reihenfolge ausgegeben werden (von rechts nach links statt von links nach rechts).

In Dateinamen kann das RLO-Zeichen gezielt im Dateinamen positioniert werden, um einen anderen Dateinamen oder eine andere Dateierweiterung vorzutäuschen, als sie tatsächlich hat. (Wird auch dann ausgeblendet, wenn 'Erweiterungen für bekannte Dateitypen ausblenden' nicht markiert ist.)

Die einzige Info, die ich finden kann, die Informationen darüber enthält, wie man verhindert, dass Dateien mit dem RLO-Zeichen ausgeführt werden, stammt vom Information Technology Promotion Agency, Japan Website
.

Kann jemand andere gute Lösungen empfehlen, um zu verhindern, dass Dateien mit dem RLO-Zeichen im Namen auf dem Computer geschrieben oder gelesen werden, oder eine Möglichkeit, den Benutzer zu warnen, wenn eine Datei mit dem RLO-Zeichen erkannt wird?

Mein Betriebssystem ist Windows 7, aber ich werde nach Lösungen für Windows XP, Vista und 7 suchen, oder nach einer Lösung, die für alle diese Betriebssysteme funktioniert, um Leuten zu helfen, die die

  • Sehr gute Frage! Das würde ich auch gerne wissen. Ihr Link scheint nicht zu funktionieren.
  • Habe gerade festgestellt, dass der Link nicht funktioniert. Ich hoffe, er ist nur vorübergehend außer Betrieb. Ich werde die Antwort aktualisieren, wenn ich einen Mirror finde.
  • Danke! Ich habe den Mirror-Link zu der Frage hinzugefügt.
  • They adviced to use the Local Security Policy settings manager to block files with the RLO character in its name from being run. Können Sie uns bitte sagen, warum dies keine Lösung ist?
  • Ich suche nach anderen Lösungen, die verhindern, dass das RLO-Zeichen geschrieben und gelesen wird, oder eine Lösung, die den Benutzer benachrichtigt oder alarmiert, wenn das RLO-Zeichen erkannt wird. Vielleicht kann auch ein anderer Benutzer eine bessere Lösung anbieten.
  • Das Erkennen der RLO auf Ihrem System ist ein einfaches Skript (einfach alle Dateinamen aufzählen und schauen, ob das Zeichen da ist), auch das Abonnieren von I/O-Updates ist noch eine einfache Aufgabe in einer Programmiersprache. Ich sehe immer noch nicht, wie das die Sicherheit gegenüber der Fähigkeit, die Dateien auszuführen, erhöhen würde...
  • Ich bin auf der Suche nach einer automatisierten Lösung, die automatisch und in Echtzeit erkennt, wenn die Datei mit dem RLO-Zeichen gefunden wird, anstatt manuell nach dem Zeichen zu suchen. IMO ist es besser, eine potenzielle Malware zu erkennen, wenn sie geschrieben wird, dass wenn i
  • Dies könnte auch standardmäßig vom Site Maker sein, wenn es von der alten Marquee-Sprachoption erstellt wurde, dann könnte es ein Problem des eingegebenen Codes in der Webpage-Option sein.

OriginalAutor galacticninja | 2012-04-05

  1. 3

    Sie könnten Alles
     in Kombination mit AutoHotkey
     verwenden, um eine Warnung zu erzeugen, wenn ein bidirektionales Textsteuerzeichen Teil eines Dateinamens ist.

    Das Skript 

     AlertText = A bidirectional text control character was detected in a filename.
AlertText = %AlertText%`n`nClick OK to re-hide the window.

SetTitleMatchMode RegEx
DetectHiddenWindows, On
EnvGet, ProgramFiles32, ProgramFiles

Start:
Run, %ProgramFiles32%\Everything\Everything.exe
WinWaitActive, Everything, , 5
if Errorlevel
    Goto Start
WinGet, Id, ID, A
StatusBarWait, objects, , 1, ahk_id %Id%
StatusBarGetText, Status, 1, ahk_id %Id%
Backup := ClipboardAll
Transform, Clipboard, Unicode, ‎|â€|‪|‫|‬|‭|‮
Send, ^v
WinHide, ahk_id %Id%
Sleep, 100
Clipboard := Backup
Backup =
StatusBarWait, ^(?!^\Q%Status%\E$)
Loop
{
    StatusBarWait, [1-9], , 1, ahk_id %Id%
    IfWinNotExist, ahk_id %Id%
        Goto Start
    WinShow, ahk_id %Id%
    WinRestore, ahk_id %Id%
    MsgBox, %AlertText%
    WinHide, ahk_id %Id%
}

    Was es tut

    Das Skript startet Alles und sucht nach ‎|â€|‪|‫|‬|‭|‮ (UTF8), d. h. nach allen sieben bidirektionalen Textsteuerzeichen (Quelle
    ), getrennt durch |.

    Dann blendet das Skript das Fenster "Alles" aus und überwacht dessen Statusleiste. Wenn sie eine von 0 abweichende Ziffer enthält, wurde eine Übereinstimmung gefunden, das Fenster "Alles" wird angezeigt und das folgende Meldungsfenster erscheint:

    Ein bidirektionales Textsteuerzeichen wurde in einem Dateinamen erkannt.

    Klicken Sie auf OK, um das Fenster wieder auszublenden.

    Das Skript startet auch Alles neu, falls es geschlossen wird.

    So verwenden Sie

    1. Herunterladen
      , installieren und starten Sie Everything.

    2. Drücken Sie Strg + P und wechseln Sie auf die Registerkarte Volumes .

      Aktivieren Sie für alle Volumes, die geprüft werden sollen, Änderungen überwachen .

    3. Herunterladen
       und installieren Sie AutoHotkey.

    4. Speichern Sie obiges Skript als find-bidirectional-text-control-characters.ahk.

    5. Doppelklicken Sie auf das Skript, um es zu starten.

    6. Erstellen Sie eine Verknüpfung zu dem Skript in Ihrem Startup Ordner.

    OriginalAutor Dennis

  2. 2

    Der Information Technology Promotion Agency, Japan Website
     (Spiegel-Link
    ), hat empfohlen, den Einstellungsmanager für die lokale Sicherheitsrichtlinie zu verwenden, um die Ausführung von Dateien mit dem RLO-Zeichen im Namen zu blockieren.

    (Ich kopiere die vollständigen Anweisungen nicht, da ich nicht weiß, wie die Urheberrechtslizenz dieser Website für ihren Inhalt lautet.)

    OriginalAutor galacticninja

  3. 0

    Es gibt wahrscheinlich noch andere Möglichkeiten, aber der einfachste - und dennoch nicht triviale - Weg ist, einen Dateisystemfilter (oder Dateisystem-Minifilter) zu implementieren, der diese Anfragen filtert. Beim Lesen aus einer solchen Datei könnte man STATUS_ACCESS_DENIED zurückgeben und beim Schreiben sollte man nichts tun, sondern stattdessen verhindern, dass solche Dateien (wahrscheinlich auch mit dem obigen Fehlercode) überhaupt erst angelegt werden. Die Erstellung ist ein weiterer Anforderungstyp.

    Man kann sich auch andere Methoden vorstellen, um ein ähnliches Ergebnis zu erzielen, z. B. SSDT-Hooking. Aber der einzige zuverlässige Weg wäre der obige.

    Um das zu tun, müssen Sie jemanden dazu bringen, diese Art von Filter für Sie zu schreiben (relativ trivial für Mini-Filter für einen Kernel-Entwickler) und ihn dann signieren, um ihn durch die Kernel-Mode-Signierungsrichtlinie seit Vista zu bekommen. Wenn Sie letzteres nicht tun wollen, können Sie immer noch das Treiber-Binary test-signieren und Ihre Boot-Optionen so modifizieren, dass test-signierte Inhalte zugelassen werden - was allerdings die Sicherheit des jeweiligen Systems beeinträchtigt.

    Angesichts dieser Informationen würde ich Ihnen dringend raten, die Lösung zu verwenden, auf die galacticninja und Tom Wijsman hingewiesen haben.

    • "Ich würde Ihnen dringend raten, die Lösung zu verwenden, auf die Tom Wijsman hingewiesen hat." Eigentlich war das eine Lösung, auf die ich hingewiesen habe. Ich habe Windows bereits so eingestellt. Wie ich Tom Wijsman geantwortet habe, suche ich nach anderen Lösungen, die verhindern, dass das RLO-Zeichen geschrieben und gelesen wird, oder nach einer Lösung, die den Benutzer automatisch benachrichtigt oder alarmiert, wenn das RLO-Zeichen erkannt wird. Ich fürchte, ich habe nicht das technische Know-how, um den von Ihnen beschriebenen Filter zu schreiben.
    • Tut mir leid, ich werde das in meiner Antwort korrigieren.

    OriginalAutor 0xC0000022L

  4. 0

    Ich glaube nicht, dass so etwas auf dem Desktop verfügbar ist, aber Sie sollten in der Lage sein, zu verhindern, dass solche Dinge auf Ihre(n) Fileserver geschrieben werden:

    Implementieren der Dateiprüfung in Windows Server 2003 R2

    OriginalAutor Adam Thompson

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.